Slutsatser - Bring Your own device : Hur personalens nya IT-vanor påverkar en verksamhet

I detta kapitel presenteras kort uppsatsens problembild och syfte, samt svaren på frågeställning. De tre olika frågorna som utgör frågeställningen anges som underrubriker för att läsaren lättare ska kunna finna det hen söker. Som en underrubrik till den tredje frågeställningen finner man en kortare sammanställning för hur Sigma AB har identifierat, analyserat och hanterat BYOD.

6.1 Problembild och arbetets syfte

Det finns både negativa och positiva aspekter på användingen av BYOD i en verksamhet. Negativt är t.ex. att datasäkerheten kan försämras. Positivt är t.ex. att de anställda känner större tillfredställelse i sitt arbete av få använda egenvalda produkter och program för att utför sina åtaganden. Syftet med uppsatsen är att redogöra för hur ett modernt svenskt IT-konsultföretag resonerar kring BYOD- problematiken.

6.2 Uppsatsens frågeställningar:

6.2.1 Vilka möjligheter och utmaningar medför BYOD för en verksamhet?

Det råder en konsensus inom alla läger, både akademiska och yrkesmässiga, om att BYOD medför både möjligheter och utmaningar. Det är tillfredställande för en individ att få arbeta med en enhet/teknik som denne känner till, behärskar och har valt själv. Arbetsuppgifter kan eventuellt lösas snabbare och mer kreativt än på hård- och mjukvara som verksamheten tillhandahållit, då dessa kanske inte alltid representerar de senaste modellerna och/eller versionerna. Av inköp- och avskrivningstekniska skäl kan verksamhetsägd utrustning vara något äldre än de privata enheter som de anställda äger. Produkterna lever, så att säga, sin ekonomiska livslängd i en verksamhet innan ny utrustning köps in. Det är samtidigt positivt för verksamheten att personalen blir mer benägen att t.ex. svara på arbetsrelaterade mail och telefonsamtal, när de får dessa i sina privata enheter även utanför arbetstiden.

Utmaningen representeras av hur verksamheten ska handskas med faran för de situationer som kan uppstå i och med BYOD, och hur man bäst eliminerar dessa. Den kanske största faran sker då en verksamhet inte har adresserat fenomenet alls, och låter saken bero. Har man ingen BYOD-policy från ledningshåll, kan man, med dagens marknadspenetration av smartphones och surfplattor, räkna med att de anställda fattar en sådan policy åt en. Man kan göra liknelsen med att inte behöva ha nedskrivna rutiner för att läkare måste tvätta händerna mellan de olika patientbesöken, eller att byggnadsarbetare måste ha skor med trampskydd. Det borde dessa yrkeskårer ”fatta själva”, kan man tycka. Trots det finns det nedskriva rutiner, och krav på utbildning, för detta. Den instinktiva självklarheten av nödvändigheten av handtvätt och skyddskor är dock långt större, än den självklara nödvändigheten av att uppdatera sitt operativsystem på mobilen, eller att inte klicka på ”skojiga länkar” i mail med okänd avsändare på sin fritid, om man har känslig information från sin arbetsplats i sin privata mobila enhet. Ställ detta i relation till de siffror som presenteras i studien rörande kostnader för företag när det kommer till dataintrång, dataförlust, skada pga. omedvetet handlande osv. Då bör den mest angelägna utmaningen för en verksamhet vara att inse BYOD som en reell faktor i dagens samhälle, och bekräfta densamma med att göra en riskanalys av sin situation och hur de ska bemöta fenomenet. Alla verksamheter är ansvariga för sina beslut, och man får utgå från att de fattar

så bra beslut som möjligt utefter de resurser man har tillförfogande. Brist på vetskap och förståelse gällande BYOD bör dock inte vara en bristande resurs hos någon verksamhetsledning.

Om det finns verksamhetsledningar med dålig förståelse för BYOD-problematiken, så torde även detsamma gälla för personelen. En stor utmaning ligger i hur man leder och motiverar sin personal till att undvika ett felaktigt förfarande med egenägd utrustning i sin arbetsmiljö. Information och utbildning ska ske när omständigheterna för verksamhetens informationssäkerhet ändras. Man bör ha ett forum (möten, anslag på informationstavla osv) där säkerhetsaspekter tas upp, så att ”säkerhetstänket” ständigt finns i åtanke inom verksamheten. När ledningen lägger en sådan emfas vid att säkra kvalitén på sin säkerhet för det med sig även andra positiva spin-off effekter för verksamheten i sin helhet. Kvalitéaspekten inom verksamheten förankras och en ökad medvetenhet om kvalitet i arbetet och på arbetsplatsen infinner sig.

Det finns även en ekonomisk aspekt som framförs, där en verksamhet skulle vinna på att inte behöva köpa in utrustning till personalen som behövs i arbetet. Personalen ser själv till, av eget intresse, att de har den utrustning som behövs och som klarar av de tekniska krav arbetet i sig ställer. Här finns anledning till eftertanke för verksamhetsledningen. Ofta försvinner den ekonomiska vinningen genom att IT-avdelningen inte har kunskap eller resurser att bistå med support då en enhet ”krånglar”. Den anställde får då själv lägga tid på att lösa problemet, varpå produktiv arbetstid förloras. Ytterligare produktiv arbetstid kan förloras vid problem med icke-kompatibla enheter, något som inte skulle ske om enhetsutbudet var standardiserat av IT-avdelningen.

Utmaningen, ”faran” eller riskerna, med BYOD är verklig, men i och med att det saknas forskning och statistik på området, så är det svårt att veta exakt hur stor utmaningen och riskerna är. Det ligger givetvis någonting i åsikten om att säkerhetsexperter ”talar i egen sak” (som Lilja uttrycker det), men helt utan fog är det inte när man ser till de artiklar, både akademiska och i dagspressen, som finns om ämnet gällande dataintrång, informationsläckage samt om rena olyckshändelser då servrar eller liknade slås ut genom en anställds oavsiktliga handlande. Det finns verksamhetsmiljöer redan idag där man, på grund av säkerhetskravet, med visshet vet att privata enheter aldrig kommer att släppas in. Om detta gjorts med fog, eller har man slentrianmässigt förbjudit något som känns annorlunda, nytt, obekant, farligt är svårt att veta utan insikt i beslutsunderlaget. Hade även dessa verksamheter, med rätt inställning och hantering, kunnat dra fördel av att tillåta BYOD? Däri ligger utmaningen.

6.2.2 Vad för dessa för konsekvenser för verksamheten, ur ledningens respektive den anställdes perspektiv?

Ur ett ledningsperspektiv är det tydligt att personalen inte anses som riskfaktorer som med flit saboterar för sin arbetsgivare eller på sin arbetsplats. Om personalen bara är informerade om BYOD- problematiken som rör dem, samt att de är motiverade att följa de riktlinjer som finns (eller tas fram) kan man räkna med att policyer följs av personalen. Studien visar att även IT experter kan behöva ett styrdokument i form av en specificerad BYOD-policy, som påvisar att de moment och handlingar som kan leda till att skada i någon form uppkommer. Dessa handlingar är inte självklara. Riskmomenten finns ofta i de handlingar vi ser som ofarliga och vardagliga. En privat användning av appar och spel

med ibland dubiös ursprung, eller besök på olika hemsidor innehållande dold, skadlig kod, kanske inte ställer till med problem för den enskilde individen, men den skadliga koden kan vara skriven med annan målgrupp i sikte än en privatperson. I och med att skadlig kod, i alla dess varierande former och varianter, sprids med vida nät i hopp om att någonstans få ”napp” hos en önskad målgrupp, kan en i vanliga fall helt oförarglig app plötsligt göra stor skada när den omedvetet ges åtkomst till en verksamhets servrar.

En verksamhet som är känslig för de eventuella skadliga konsekvenser som kan uppstå från BYOD bör alltså fortbilda sin personal i ett övergripande säkerhetstänkande, se till att de har en BYOD-policy som följer de kognitiva, pragmatiska och moraliska krav som Chen (2012) föreslår att the IT-policy bör ha, kombinera sedan utbildning och BYOD-policyn med en adekvat teknisk säkerhetslösning (exempelvis MDM), samt ha en arbetsledning som föregår med gott exempel (dvs. inte själva kringgår regelverket). För den anställdes del innebär arbetsledningens tillåtelse att få använda sin egen enhet säkert en förbättring av både rent praktiska skäl, samt i dennes arbetssituation. Man slipper t.ex. bära omkring på dubbla enheter, och man får använda något i arbetet som man själv har valt och trivs med. Trots detta, bör individen vara uppmärksam på att, även om man äger sin mobila enhet, så kan en IT- avdelning ställa krav på att få inspektera och/eller helt radera minnet på den om en säkerhetsincident uppträder. Dessutom, en mobil enhet som är utrustad med en MDM teknik som, med en viss säkerhetsinställning, kan, på distans och per automatik, radera enheten helt och hållet ifall fel lösenord till skärmlåset slagits in för många gånger. Ett inte helt osannolikt scenario, ifall man t.ex. har barn hemma och de vill spela ett spela på surfplattan eller mobilen som ligger framme. En privat enhet kan även krävas in av åklagare ifall arbetsgivaren hamnar i en rättslig tvist. Innehållet kommer även då granskas av en utomstående. Hur länge man dessutom blir utan sin enhet är omöjligt att säga. Oavsett, kan en situation som denna ställa till med både obehagkänslor och besvär för den berörde.

6.2.3 Hur kan dessa konsekvenser identifieras, analyseras och hanteras ur ett ledningsperspektiv?

Riskanalys är det instrument som framhålls, i både teori och av respondenterna, när säkerhetsrisker ska identifieras och analyseras. Det är även vid riskanalysen som beslut tas ifall eventuella åtgärder måste vidtas, eller om de befintliga säkerhetslösningarna är tillräckliga för att möta den nyuppkomna situationen. Alla verksamheter har olika säkerhetsbehov, samt olika ekonomiska och personalmässiga resurser att disponera. Vid riskanalysen görs ett avvägande om behovet av investering i ny utrustning, ändrade rutiner osv står i paritet till den kostnad dessa skulle innebära.

En realistisk hållning måste alltså gälla vid en riskanalys. För varje verksamhet är det verkligheten som styr över investeringar i dyr utrustning och eventuellt ökade personalkostnader. Riskanalyser måste göras regelbundet, och även om det för IT avdelningen säkert känns bättre med, så att säga, både ”hängslen och svångrem” när det kommer till informationssäkerhet, så måste de ekonomiska förutsättningarna få råda.

Utöver riskanalyser vid behov, behöver ledningen sörja för att personalen hålls uppdaterad och informerad om de risker som finns vid normal användning av privata enheter. Detta då det oftast inte är med flit som informationssäkerhetsincidenter uppstår. Om det ändå är någon som de facto

verkligen vill tillfoga skada eller stjäla säkerhetsklassad information, hjälper inte all information i världen. Förmodligen inte en maximerad teknisk lösning heller, då det alltid finns vägar att gå för den illvilligt uppfinningsrike.

6.2.4 Hur Sigma AB har identifierat, analyserat och hanterat BYOD

Sigma ABs fortlöpande riskanalyser visar att de idag inte har ett informationssäkerhetsmässigt behov av en specifik BYOD-policy, samt ej heller något behov av, eller för den delen de ekonomiska förutsättningarna för att införskaffa, de tekniska lösningarna som eventuellt skulle kunna komma ifråga. De följer dock BYOD-debatten och dess utveckling noggrant, och vid varje signifikant ändring av situationen för informationssäkerhet, både verksamhetsmässigt och globalt, görs en ny riskanalys. Sigmas IT policy, tillsammans med befintliga tekniska säkerhetslösningar (som t.ex. lösenordsskyddad inloggning, viss kryptering osv) är vad som definierar Sigmas informationssäkerhet idag. Med hjälp av riskanalyser, som inbegriper Sigmas situation i sin helhet, dvs. vilka olika kundkrav man har, hur hotbilden gällande informationssäkerhet ser ut i ett verksamhetsmässigt, nationellt och globalt perspektiv samt hur Sigmas ekonomiska situation är för tillfället, fattas beslut i ledningsgruppen huruvida en investering i informationssäkerhet krävs (t.ex. en ökad säkerhet kring BYOD).

Sigmas IT policyn hålls ständigt aktuell av IT avdelningen. Vad gäller BYOD-relaterade punkter i policyn förbjuds exempelvis inköp av utrustning som inte har godkänts av IT avdelningen, men inget nämns om att IT avdelningen måste godkänna en privat enhet som ska användas i arbetet. Däremot säger IT policyn att alla datorer som ska användas inom Sigma måste ha det anitvirus program (F-Secure) som Sigma har valt och godkänt. Att av Sigma få en programvarulicens till en privat enhet är inte förenligt med de affärsavtal som gäller för företagslicenser av mjukvara. Detta betyder att om den anställde med egna medel inte har investerat och installerat F-Secure på sin dator, så får den heller inte användas inom Sigma.

Utbildning och information gällande informationssäkerhet för personalen hålls fortlöpande, uppdaterad och aktuell. De flesta anställda anses medvetna om BYODs problematik och utveckling genom facklitteratur, medan IT-avdelningens informationskanaler hålls som en garant för att personalen verkligen är uppdaterad. Arbetsledningen arbetar aktivt med att enbart ha funktionella regler och förordningar, och efterlever dessa för att föregå med gott exempel och inpränta en strukturerad, regelföljande, och därmed även en kvalitésäkrad, företagskultur inom Sigma AB.

6.3 Sammanfattning av slutsatsen

Verksamheter kan i olika hög grad ha nytta av att tillåta BYOD. Regelbundna riskanalyser kan sägas vara det enskilt viktigaste verktyget för en verksamhet att bedöma hur de ska reagera till sin aktuella situation, medan fortlöpande utbildning av personalen i kvalité- och säkerhetsfrågor, tillsammans med god information om aktuella skeenden vad gäller datasäkerhet, utgör grunden för verksamhetens säkerhet överlag. Regelverk och tekniska investeringar i säkerhet gör ingen nytta om inte personalen förstår varför de måste tillämpas och användas.

Vad gäller slutsatsens generaliserbarhet så är den jämförelsevis låg gällande de olika reaktiva åtgärder en specifik verksamhet skulle behöva/kunna vidta, jämfört med hur hög generaliserbarheten är för de proaktiva åtgärder som alla verksamheter borde kunna utföra. Alla verksamheters situation (t.ex. finansiell, personalstyrka, ägarförhållanden, internationella åtaganden, olika grader av sekretessbehov osv.) gör att en verksamhet måste skräddarsy sina reaktiva åtgärder, medan de proaktiva åtgärderna (t.ex. riskanalys, vidareutbildning av personal, information, arbetsledningens agerande som goda föredömen osv.) kan tillämpas på alla verksamheter.

In document Bring Your own device : Hur personalens nya IT-vanor påverkar en verksamhet (Page 39-44)